漏洞描述
MinIO 是一款高性能、分布式的对象存储系统. 它是一款软件产品, 可以100%的运行在标准硬件。即X86等低成本机器也能够很好的运行MinIO。兼容亚马逊S3云存储服务接口,非常适合于存储大容量非结构化的数据,例如图片、视频、日志文件、备份数据和容器/虚拟机镜像等。
MinIO中存在一处信息泄露漏洞,由于Minio集群进行信息交换的9000端口,在未经配置的情况下通过发送特殊HPPT请求进行未授权访问,进而导致MinIO对象存储的相关环境变量泄露,环境变量中包含密钥信息(MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD),能看到对应权限的存储文件。
漏洞复现
一、漏洞影响版本
RELEASE.2019-12-17T23-16-33Z <= MinIO < RELEASE.2023-03-20T20-16-18Z
注意:若MinIO不是集群模式配置的情况下,则不受该漏洞影响
二、漏洞复现
1、访问
2、构造poc
三、修复建议
目前官方已发布新版本修复漏洞,建议影响的用户及时安装:
https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z
END
• 往期精选
下方点击关注发现更多精彩
原文始发于微信公众号(银河护卫队super):Minio 敏感信息泄露漏洞(CVE-2023-28432)漏洞复现
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论